Oi Eduardo, se não me engano, o Spring Security tem uma classe de serviço que possuí um método que retorna apenas o usuário atualmente logado no seu sistema.
O que talvez você possa fazer neste seu caso consiste em incluir em sua aplicação um listener de sessão.